Authentisierung mit USB Smartcard von Aladdin

Eleganter Ausweg aus der Identitätskrise

17.01.2008 | Autor / Redakteur: Dr. Peter Schill / Peter Schmitz

USB-Stick als Smart Card: Aladdin eToken kombiniert die Sicherheit der Smart Card mit dem kostengünstigen USB-Bus.
USB-Stick als Smart Card: Aladdin eToken kombiniert die Sicherheit der Smart Card mit dem kostengünstigen USB-Bus.

Die Sicherheit der Benutzer-Authentifizierung ist heute zentrale Voraussetzungen für einen reibungslosen Geschäftsablauf und den Schutz vertraulicher Firmendaten. Der einfache Passwortschutz reicht als Sicherheitsmechanismus längst nicht mehr aus, moderne Authentisierungs-Systeme erfordern aber oft hohe Investitionen. Security-Insider stellt mit Aladdin eToken eine wirtschaftlich interessante Lösung für die Authentifizierungsprobleme in Unternehmen vor.

Durch stärkere Vernetzung und wachsenden Datenverkehr entstehen immer mehr gefährliche Sicherheitslücken in IT-Umgebungen. Für Unternehmen und Behörden ergeben sich daraus neue Herausforderungen bei der Realisierung der Systemsicherheit. Die Umsetzung von Sicherheitsrichtlinien ist jedoch immer eine Gratwanderung. So gilt es auf der einen Seite einen bequemen, anwenderfreundlichen Zugriff auf Netzwerke und Datenbestände zu ermöglichen. Auf der anderen Seite müssen sich Unternehmen vor unberechtigtem Systemzugriff und Datenspionage schützen. Ein Sicherheitskonzept ist also gefragt, das wirksam ist, aber gleichzeitig die Benutzer nicht in ihrer Arbeit behindert.

Bei der nach wie vor verbreiteten „Ein-Faktor-Authentisierung“ reicht dem Anwender ein einzelnes Passwort zur Anmeldung. Damit ist ein Basisschutz gewährleistet, auf den viele Unternehmen vertrauen, der jedoch vor dem Hintergrund gestiegener Sicherheitsrisiken nicht mehr ausreicht. Um zumindest ein etwas höheres Maß an Sicherheit zu erzielen, sollten die Anwender ihre Passwörter für die Netzwerkanmeldung regelmäßig ändern.

Da es aber schwer ist, sich viele verschiedene Passwörter zu merken, werden diese oft niedergeschrieben, an einem leicht zugänglichen Ort aufbewahrt und nur selten geändert. Gerne werden auch einfache Begriffe mit offensichtlichem Bezug zum Benutzer, wie der eigene Vor- oder Nachname, als Passwort genommen. Was bequem ist für die Mitarbeiter, ist jedoch riskant für das Unternehmen.

Viele Sicherheitsprobleme, optimale Lösung gesucht

Eine sichere Alternative zum reinen Passwort-System sind Zertifikate. Problematisch ist dabei jedoch die lokale Speicherung auf dem Arbeitsplatzrechner. Sollen Zertifikate auf mehreren Rechnern benutzt werden, sind diese erst zu exportieren und dann zu importieren. Bei Rechner-Pools besteht zudem die Gefahr, dass andere Benutzer das importierte Zertifikat missbrauchen. Einen Sicherheitsschritt weiter geht die Authentisierung mit Hilfe von Smartcards und entsprechenden Lesegeräten, die auch für den autorisierten Zutritt innerhalb von Gebäuden eingesetzt werden. Der Sicherheitsgewinn wird hierbei aber mit hohen Hardwarekosten erkauft.

Als interessante Alternative präsentiert sich die von Aladdin entwickelte Technologie einer USB-basierten Smartcard, die unter dem Produktnamen „eToken“ vertrieben wird. Ein eToken ist ein Key mit einer integrierten Smartcard und Speichereinheit, die direkt in einen USB-Slot des PCs gesteckt wird. Die Zertifikate werden daher nicht mehr im Webbrowser des Benutzers lokal gespeichert, sondern direkt auf dem eToken-Crypto-Chip. Dieser kann bei jedem PC mit USB-Schnittstelle genutzt werden.

Die USB-Smartcard stellt somit eine portable und robuste Methode zur Speicherung und Übermittlung von Berechtigungsnachweisen und digitalen Zertifikaten gemäß einer starken „Zwei-Faktor-Authentisierung“ dar. Damit ist die parallele Verwendung des eToken und des dazugehörigen eToken-Kennworts gemeint. Die Benutzer-ID und das Kennwort sind anstatt auf der Festplatte sicher auf der USB-Smartcard gespeichert. Daraus resultiert ein hoher Schutz vor einem möglichen Ausspionieren der Zugangscodes, da der legitime Anwender die USB-Smartcard stets bei sich trägt.

USB-Smartcard mit flexiblen Einsatzmöglichkeiten

Im Gegensatz zum klassischen Smartcard-System bietet die USB-Smartcard wesentliche Vorteile. So entfällt die Investition in teure Lesegeräte und es sind vielseitige Einsatzvarianten möglich. Generell überzeugt die eToken-Lösung durch das hohe erzielbare Sicherheitsniveau zur vertrauensvollen Authentisierung, Verschlüsselung, Signatur und Entschlüsselung elektronischer Transaktionen.

Das System ermöglicht die sichere Generierung und Speicherung von Schlüsseln und Zertifikaten und ist mit jeder Standard-PKI-Applikation transparent einsetzbar. Ob für mobile Authentisierung, Remote Access oder Datei- und Ordner-Verschlüsselung: Es kann eine Vielzahl typischer Smartcard-Anwendungen für Netzwerk- und E-Business-Sicherheitslösungen realisiert werden.

eToken ist dank Standardschnittstellen mit zahlreichen Produkten anderer Hersteller, darunter Cisco, IBM, Microsoft und SAP, schnell und reibungslos kombinierbar. Gemeinsam mit den Partnern konnte Aladdin auf diese Weise verschiedene Lösungen für E-Business- und Netzwerk-Sicherheit realisieren. Über die „Single Sign-on“-Funktionalität und eine Zertifikat-basierte Authentisierung bekommen Anwender autorisierten Zugriff auf Applikationen über das zentral verwaltete Autorisierungssystem. An die verschiedenen Applikationen anmelden können sich die Benutzer mit ihrem eToken und dem dazugehörigen Passwort. Der eToken speichert dabei die digitalen Zertifikate und andere für die Autorisierung des Anwenders benötigte Informationen.

Anwendungsbeispiel Raiffeisen

Im Rahmen einer Evaluierung begutachtete die österreichische Raiffeisen International Group IT GmbH verschiedene Authentisierungslösungen. Hierbei konnte sich Aladdin schließlich mit einer Lösung eToken OTP, einer Variante der eToken-Reihe, durchsetzen. Ausschlaggebend für diese Entscheidung waren mehrere Gründe: eToken OTP bietet in einer Hybrid-Hardware die Technologie einer Smartcard und gleichzeitig eines Einmal-Passwort-Generators. Das System kann somit rechnerunabhängig als Stand-alone-Lösung eingesetzt oder direkt am USB-Port angeschlossen werden.

Die Lösung wurde konsequent erweitert, jüngst durch das TMS (Token Management System), das die Integration des eToken-Systems in die bestehende Infrastruktur wesentlich erleichtert. Das TMS bildet die komplette Verwaltungsarchitektur zur Zuweisung, Implementierung und Personalisierung der eTokens. Die Managementoptionen des TMS umfassen das Einrichten und Deaktivieren von eTokens, ein Web-Interface für die persönliche Token-Verwaltung, das Passwort-Reset, automatische Backups, das Wiederherstellen von vertraulichen Benutzerinformationen sowie die Handhabung verlorener oder beschädigter Tokens. Davon profitiert somit nicht nur jeder Endanwender, sondern auch das IT-Personal durch reduzierten Administrationsaufwand.

Die Raiffeisen International Group IT nutzt derzeit mehrere Funktionen von eToken OTP. Hierzu zählt unter anderem das Web Sign-on für Web-Portale mithilfe von persönlichen Profilen, die auf dem eToken sicher hinterlegt sind. Der Vorteil besteht dabei darin, dass mehrere verschiedene Passwörter und Zugangsinformationen komplett im eToken gespeichert werden können. Ein weiterer Einsatzbereich ist die Zertifikatsauthentisierung in einer Checkpoint-Umgebung mit Zugang über VPN. Hier dient die Zwei-Faktor-Authentisierung zur zusätzlichen Erhöhung der Sicherheit. Eine weitere Option ist der Einsatz von eToken durch mobile Mitarbeiter.

Wirkungsvoller Schutz gegen nicht autorisierte Zugriffe

Eine simple Passwort-Technologie ist heute nicht mehr ausreichend, um sensible Daten zu schützen. Dies hängt nicht nur von der Größe eines Unternehmens ab, sondern davon, wie geschäftskritisch die Daten eingestuft werden. Das pfiffige Konzept des USB-Smartcard-Systems eToken, das auf integrierten Hardware- und Software-Komponenten basiert, überzeugt in der Praxis durch hohe Sicherheit und Effektivität.

Anspruchsvolle Authentisierungsmethoden wie diese machen es unberechtigten Benutzern nahezu unmöglich, sich Zugang zu fremden Log-in-Informationen zu verschaffen. Auf dieses zusätzliche, deutlich höhere Maß an Sicherheit kommt es letztlich an, um geschäftskritische Situationen infolge eines unberechtigten Systemzugriffs zu vermeiden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2010129 / Smartcard und Token)